Paramètres de machine spécifiques - Paramètres de base

Paramètres de stratégie Explication
Authentification au démarrage (POA)
Activer l'authentification au démarrage Définit si l'authentification au démarrage SafeGuard est activée ou désactivée.
Important : pour des raisons de sécurité, nous vous conseillons fortement de conserver l'authentification au démarrage SafeGuard activée. La désactivation de l'authentification au démarrage SafeGuard réduit la sécurité du système de connexion Windows et accroît le risque d'accès non autorisés aux données chiffrées.
Refuser l'accès en cas d'absence de connexion au serveur (jours) (0=pas de vérification) Refuse la connexion à l'authentification au démarrage SafeGuard si le terminal n'a pas été connecté au serveur pendant une période supérieure à la période définie.
Éveil par appel réseau (WOL) sécurisé Grâce aux paramètres d'Éveil par appel réseau sécurisé (WOL), vous pouvez préparer les terminaux aux déploiements de logiciels. Si les paramètres d'Éveil par appel réseau sécurisé s'appliquent aux terminaux, les paramètres nécessaires (par exemple, la désactivation de l'authentification au démarrage SafeGuard et un intervalle d'éveil par appel réseau) sont transférés directement sur les terminaux sur lesquels les paramètres sont analysés.
Important : la désactivation de l'authentification au démarrage SafeGuard (même pour un nombre limité de processus de démarrage) réduit le niveau de sécurité de votre système.

Retrouvez plus de renseignements sur l'éveil par appel réseau sécurisé à la section Éveil par appel réseau (WOL) sécurisé.

Nombre de connexions automatiques Définit le nombre de redémarrages lorsque l'authentification au démarrage SafeGuard est inactive pour l'éveil par appel réseau.

Ce paramètre remplace temporairement le paramètre Activer l'authentification au démarrage jusqu'à ce que le nombre prédéfini de connexions automatiques soit atteint. L'authentification au démarrage SafeGuard est ensuite réactivée.

Si vous définissez le nombre de connexions automatiques sur deux et si Activer l'authentification au démarrage est actif, le terminal démarre deux fois sans authentification via l'authentification au démarrage SafeGuard.

Pour le mode Éveil par appel réseau, nous vous conseillons d'autoriser trois redémarrages de plus que nécessaire pour vos opérations de maintenance pour faire face aux problèmes imprévus.

Autoriser la connexion à Windows pendant l'éveil par réseau Détermine si les connexions Windows locales sont autorisées durant un éveil par appel réseau.
Début de la plage horaire pour le lancement du WOL externe

Fin de la plage horaire pour le lancement du WOL externe

La date et l'heure peuvent être sélectionnées ou saisies pour le début et la fin de l'éveil par appel réseau (WOL).

Format de date : MM/JJ/AAAA

Format d'heure : HH:MM

Les combinaisons suivantes de saisie sont possibles :

  • début et fin de l'éveil par appel réseau définis ;

  • fin de l'éveil par appel réseau définie, début ouvert.

  • aucune entrée : aucun intervalle n'a été défini.

Pour un déploiement planifié de logiciels, le responsable de la sécurité doit définir la plage de l'éveil par appel réseau de sorte que le script de programmation puisse démarrer suffisamment tôt pour que les terminaux aient le temps de démarrer.

WOLstart (Début WOL) : le point de départ de l'éveil par appel réseau dans le script de programmation doit se trouver dans l'intervalle défini dans la stratégie. Si aucun intervalle n'est défini, l'éveil par appel réseau n'est pas activé localement sur le terminal protégé par SafeGuard Enterprise. WOLstop (Fin WOL) : cette commande s'effectue quel que soit le point d'extrémité défini pour l'éveil par appel réseau.

Assignation utilisateur/machine (AUM)
Interdire la connexion à l'utilisateur invité SGN
Remarque : ce paramètre s'applique uniquement aux terminaux administrés.
Définit si les utilisateurs invités peuvent se connecter à Windows sur le terminal.
Remarque : les comptes Microsoft sont toujours considérés comme des utilisateurs invités de SafeGuard Enterprise.
Autoriser l'enregistrement de nouveaux utilisateurs SGN pour Définit qui peut importer un autre utilisateur SGN dans l'authentification au démarrage SafeGuard et/ou AUM (en désactivant la connexion automatique vers le système d'exploitation).
Remarque : pour les terminaux sur lesquels le module Protection des périphériques n'est pas installé, le paramètre Autoriser l'enregistrement de nouveaux utilisateurs SGN pour doit être défini sur Tout le monde s'il est possible d'ajouter plusieurs utilisateurs à l'Assignation utilisateur/machine avec accès à leur jeu de clés. Autrement, les utilisateurs peuvent uniquement être ajoutés dans SafeGuard Management Center. Ce paramètre est uniquement évalué sur les terminaux administrés. Retrouvez plus de renseignements dans l'article 110659 de la base de connaissances de Sophos.

Si le paramètre est défini sur Personne, l'authentification au démarrage n'est pas activée. Les utilisateurs devront être assignés manuellement dans SafeGuard Management Center.

Activer l'enregistrement des utilisateurs Windows de SGN Définit si les utilisateurs Windows de SGN peuvent être enregistrés sur le terminal. Un utilisateur Windows de SGN n'est pas ajouté à l'authentification au démarrage SafeGuard. En revanche, il dispose d'un jeu de clés pour accéder aux fichiers chiffrés comme le ferait un utilisateur SGN. Si vous sélectionnez ce paramètre, tous les utilisateurs, qui seraient autrement devenus des utilisateurs invités, deviennent des utilisateurs Windows de SGN. Les utilisateurs sont ajoutés à l'Assignation utilisateur/machine dès qu'ils se connectent à Windows.
Activer le nettoyage manuel de l'AUM pour les terminaux autonomes
Remarque : ce paramètre s'applique uniquement aux terminaux non administrés.

Définit si les utilisateurs peuvent supprimer les utilisateurs SGN et les utilisateurs Windows de SGN de l'assignation utilisateur/machine. Si vous sélectionnez Oui, la commande Assignations utilisateur/machine est disponible dans le menu de l'icône de la barre d'état système sur le terminal. Cette commande affiche une liste des utilisateurs pouvant se connecter à l'authentification au démarrage SafeGuard en tant qu'utilisateurs SGN et à Windows en tant qu'utilisateurs Windows de SGN. Dans la boîte de dialogue qui s'affiche, il est possible de retirer des utilisateurs de la liste. Une fois que les utilisateurs SGN ou que les utilisateurs Windows de SGN ont été supprimés, ils ne peuvent plus se connecter à l'authentification au démarrage SafeGuard où à Windows.

Nombre maximal d'utilisateurs Windows de SGN avant nettoyage automatique
Remarque : ce paramètre s'applique uniquement aux terminaux administrés.

Ce paramètre vous permet d'activer le nettoyage automatique des utilisateurs Windows de SafeGuard Enterprise sur les terminaux administrés. Dès que le seuil que vous avez fixé est dépassé par un utilisateur Windows de SafeGuard Enterprise, tous les utilisateurs Windows de SafeGuard Enterprise sont supprimés de l'Assignation utilisateur/machine à l'exception du nouveau. La valeur par défaut est de 10.

Options d'affichage
Afficher l'identification de la machine Affiche le nom de l'ordinateur ou un texte défini dans la barre de titre de l'authentification au démarrage SafeGuard.

Si les paramètres réseau de Windows incluent le nom de l'ordinateur, ce dernier est automatiquement intégré aux paramètres de base.

Texte d'identification de la machine Le texte à afficher dans la barre de titre de l'authentification au démarrage SafeGuard.

Si vous avez sélectionné Nom défini dans le champ Afficher l'identification de la machine, vous pouvez saisir le texte dans ce champ de saisie.

Afficher la mention légale Affiche une zone de texte avec un contenu pouvant être configuré qui apparaît avant l'identification dans l'authentification au démarrage SafeGuard. Dans certains pays, la loi exige l'affichage d'une zone de texte ayant un certain contenu.

L'utilisateur doit confirmer la zone de texte avant que le système ne continue.

Avant d'indiquer un texte, veuillez l'enregistrer en tant qu'élément de texte sous Textes dans la zone de navigation Stratégies.

Texte de la mention légale Le texte à afficher en tant que mention légale.

Dans ce champ, vous pouvez sélectionner un élément de texte enregistré sous Textes dans la zone de navigation Stratégies.

Afficher des informations supplémentaires Affiche une zone de texte avec un contenu pouvant être configuré qui apparaît après la mention légale (si elle est activée).

Vous pouvez définir si les informations supplémentaires sont affichées :

  • Jamais

  • À chaque démarrage système

  • À chaque connexion

Avant d'indiquer un texte, veuillez l'enregistrer en tant qu'élément de texte sous Textes dans la zone de navigation Stratégies.

Texte des informations supplémentaires Le texte à afficher en tant qu'informations supplémentaires.

Dans ce champ, vous pouvez sélectionner un élément de texte enregistré sous Textes dans la zone de navigation Stratégies.

Afficher les informations pendant une période supplémentaire Dans ce champ, vous pouvez définir la durée (en secondes) pendant laquelle les informations supplémentaires doivent être affichées.

Vous pouvez indiquer le nombre de secondes après lesquelles la zone de texte d'informations supplémentaires est fermée automatiquement. L'utilisateur peut fermer la zone de texte à tout moment en cliquant sur OK.

Activer et afficher l'icône de la barre d'état système L'icône de la barre d'état système de SafeGuard Enterprise permet à l'utilisateur d'accéder rapidement et facilement à l'ensemble des fonctions du terminal. En outre, des informations concernant l'état du terminal (nouvelles stratégies reçues, etc.) peuvent être affichées dans des infobulles.

Oui :

l'icône de la barre d'état système est affichée dans la zone d'information de barre des tâches et l'utilisateur est continuellement informé via l'infobulle concernant l'état de le terminal protégé par SafeGuard Enterprise.

Non :

l'icône de la barre d'état système n'est pas affichée. Aucune information d'état n'est affichée par les infobulles.

Muet :

l'icône de la barre d'état système est affichée dans la zone d'information de barre des tâches mais aucune information d'état n'est affichée via les infobulles.

Afficher les icônes en chevauchement dans l'Explorateur Définit si des symboles de clé Windows s'affichent pour indiquer l'état de chiffrement des volumes, périphériques, dossiers et fichiers.
Clavier virtuel en POA Définit si un clavier virtuel peut être affiché sur demande dans la boîte de dialogue de l'authentification au démarrage SafeGuard pour la saisie du mot de passe.
Options d'installation
Désinstallation autorisée Détermine si la désinstallation de SafeGuard Enterprise est autorisée sur les ordinateurs client. Lorsque l'option Désinstallation autorisée est définie sur Non, SafeGuard Enterprise ne peut pas être désinstallé, même par un utilisateur avec les droits administrateur, lorsque ce paramètre est actif au sein d'une stratégie.
Activer la protection antialtération Sophos Active/désactive la protection antialtération Sophos. Si vous avez autorisé la désinstallation de SafeGuard Enterprise dans le paramètre de stratégie Désinstallation autorisée, vous pouvez définir ce paramètre de stratégie sur Oui, pour garantir que les tentatives de désinstallation sont vérifiées par la protection antialtération Sophos pour empêcher la suppression accidentelle du logiciel.

Si la protection antialtération Sophos n'autorise pas la désinstallation, les tentatives de désinstallation seront annulées.

Si l'option Activer la protection antialtération Sophos est définie sur Non, la désinstallation de SafeGuard Enterprise ne sera pas vérifiée ou empêchée par la protection antialtération Sophos.

Remarque : ce paramètre ne s'applique qu'aux terminaux sur lesquels la version 9.5 ou ultérieure de Sophos Endpoint Security and Control est installée
Paramètres du fournisseur des codes d'accès
Enveloppement du fournisseur de codes d'accès Vous pouvez configurer SafeGuard Enterprise pour utiliser un fournisseur de codes d'accès différents de ceux du fournisseur de codes d'accès Windows. Les modèles des fournisseurs de codes d'accès pris en charge peuvent être téléchargés sur le site Web de Sophos. Pour obtenir une liste des modèles de fournisseurs de codes d'accès éprouvés et savoir où les télécharger, veuillez contacter le support Sophos.

Vous pouvez importer un modèle et le déployer sur les terminaux en utilisant le paramètre de la stratégie Fournisseur de codes d'accès. Veuillez cliquer sur Importer le modèle et naviguez jusqu'au fichier de modèles. Le modèle importé et son contenu sont affichés dans le champ Fournisseur de codes d'accès et défini en tant que stratégie.

Pour supprimer un modèle, veuillez cliquer sur Effacer le modèle.

Remarque : veuillez ne pas modifier les fichiers de modèles fournis. Si la structure XML de ces fichiers est modifiée, les paramètres ne seront pas reconnus sur le terminal et le fournisseur de codes d'accès Windows par défaut sera utilisé à la place.
Paramètres de prise en charge du token
Nom du module middleware du token Enregistre le module PKCS#11 d'un token.

Les options suivantes sont disponibles :

  • ActiveIdentity ActivClient
  • ActiveIdentity ActivClient (PIV)

  • AET SafeSign Identity Client

  • Aladdin eToken PKI Client

  • a.sign Client

  • ATOS CardOS API

  • Charismathics Smart Security Interface

  • Estonian ID-Card

  • Gemalto Access Client

  • Gemalto Classic Client

  • Gemalto .NET Card

  • IT Solution trustWare CSP+

  • Módulo PKCS#11 TC-FNMT

  • Nexus Personal

  • RSA Authentication Client 2.x

  • RSA Smart Card Middleware 3.x

  • Siemens CardOS API

  • T-Systems NetKey 3.0

  • Unizeto proCertum

  • Paramètres PKCS#11 personnalisés...

  • Si vous sélectionnez Paramètres PKCS#11 personnalisés..., les Paramètres PKCS#11 personnalisés sont activés.

    Vous pouvez saisir les noms de module à utiliser :

    • Module PKCS#11 pour Windows
    • Module PKCS#11 pour l'authentification au démarrage SafeGuard
Remarque : si vous installez le middleware Nexus Personal ou Gemalto .NET Card, vous allez également devoir ajouter leur chemin d'installation à la variable d'environnement PATH des Propriétés système de votre ordinateur.
  • Le chemin d'installation par défaut pour Gemalto .NET Card : C:\Program Files\ Gemalto\PKCS11 for .NET V2 smart cards
  • Le chemin d'installation par défaut pour Nexus Personal : C:\Program Files\Personal\bin
Licences :

Sachez que l'utilisation des middlewares respectifs pour le système d'exploitation standard requiert un accord de licence avec le fabricant correspondant. Retrouvez plus de renseignements dans l'article 116585 de la base de connaissances de Sophos.

Pour les licences Siemens, contactez :

Atos IT Solutions and Services GmbH

Otto-Hahn-Ring 6

D-81739 Muenchen

Allemagne

Services en attente de Ce paramètre permet de résoudre les problèmes de certaines cartes à puce. Notre support fournira les paramètres correspondants requis.